Bir Bug Bounty Hikayesi — BugCrowd
Bugün Trendyol Red Team ekibinin bug bounty platformu arayışı sırasında edindiği ve POC yaptığımız BugCrowd ile yaşadığımız deneyimlerden bahsedeceğim.
Hazırlık
Bug bounty programı başlatmak için yapılması gerekli pek çok hazırlık bulunuyor. Bunların bir kaçını şu şekilde sıralayabiliriz;
- Program kapsamının ve yasaklı aksiyonların çıkarılması
- Yazılım ekipleriyle program hakkında görüşülerek zafiyet çözüm süreleri için el sıkışılması
- Periyodik olarak bulgu durumlarının değerlendirilmesi ve takibi için kanalların (ekip içi ve ekipler arası) oluşturulması
Agile pratikler edinmiş, kalabalık ve sürekli gelişen bir ortamda bu hazırlıkları yapmak beklediğimizden daha zor oldu fakat güvenliğe bakış açısının/farkındalığın gelişmesi açısından bakacak olursak tüm bu yapılanlar içerideki farkındalığı artırmaya yardımcı olduğunu gördük.
Platform — BugCrowd
BugCrowd ile iletişime geçerek yaptığımız hazırlıklardan bahsettikten sonra programların private, public ya da BugCrowd’ın yönettiği, self-service yönetim gibi ince detaylarını öğrendik ve program arayüzünü oluşturduk.
POC’nin sağlıklı geçmesi açısından önerilen yöntemin private program ve BugCrowd tarafından yönetilen bir program olması gerektiği tavsiyesine uyarak (ki belirtmekte fayda var BugCrowd bütün programlarını kendisi yönetiyor, kendiniz yönetemiyorsunuz) hazırlıklarımızı yaptık.
Program yönetimi için bir finans, bir müşteri deneyimi ve bir adet uygulama güvenliği mühendisi atanıyor. Bu kişiler programın ödül havuzundan, sizin program deneyimizden sorumlu. Program deneyimi içerisinde (ki burası en önemli kısım) gelen zafiyetlerin doğrulanması, etkisinin ölçülmesi ve bir ödül miktarı atanması adımlarını içeriyor.
POC kapsamında yapılan programlardaki ödemelerin program bittiğinde yapıldığını, ödül havuzunda kalan meblağın şirkete geri ödendiğini program başlamadan söylediklerini de ayrıca belirtelim.
Program Başlıyor
Ekibimiz tarafından davet edilen kişilerle başlattığımız 30 günlük program bize çok şey öğretti. Daha önce aklımıza gelmeyen saldırı vektörleri öğrendik, şirkete ve bulunduğu ortama etkilerini tekrar tekrar düşünmemize sebep olan bulgularla karşılaştık ve en önemlisi bir programın nasıl yürütülemeyeceğini deneyim ettik.
Programın ilk haftası BugCrowd’ın bize tebliğ ettiği üzere zafiyetlerin ödül miktarı atanmadığı ve bize gönderilmediği sürece zafiyetlere bakmadık (aslında baktık, ama müdahale etmedik). İlk haftanın sonunda gördük ki BugCrowd gelen zafiyetlere çok geç cevap veriyor, yanlış değerlendiriyor ve doğrulama noktasında hatalar yapıyor. Tüm bu hatalar uç uca eklendiğinde hiç beklemediğimiz bir şekilde biriken bildiriler sebebiyle programı 5 gün (bilgimiz olmadan) durdurma kararı aldılar.
Kararın sebebinin zafiyetleri değerlendirme olduğunu öğrendikten sonraki günler gelişmeleri takip ettiğimizdeyse dört günün sonunda BugCrowd’ın zafiyet değerlendirmelerini çok yavaş yaptığını (hatta bazı günler hiç ilgilenmediklerini) gördük ve insiyatif alarak zafiyetlerin doğrulama, etki analizi ve ödül süreçlerini kendimiz yaparak zafiyetlerin altında program yöneticisine not bırakmaya başladık.
Bu şekilde geçen 30 günün sonunda ise, zafiyet derecelendirmeleri ve ödenecek tutarlar hakkında verdiğimiz kararların aksine BugCrowd tarafının kendi derecelendirmesini kullanarak ödül dağıtımı yaptığını, ödül havuzundan geri bir meblağ kalmaması için özellikle ayarlamalar yaptığını gördük (para ödülü gerektirmeyen bildirimlere dahi para verilecek bir ayarlama yapılarak).
Kapanış
Ödül dağılımının adaletsizliği konusunda BugCrowd tarafıyla yaptığımız görüşmelerin sonuçsuz kalması bir yana program yönetiminde hantal kalan ve başarısız bir zafiyet yönetimi gerçekleştiren BugCrowd, konu hackerlara yapılacak ödemelere geldiğindeyse kendilerine her gün ulaşmaya çalışmamıza rağmen hackerlara yaklaşık 40 gün kadar geç ödeme gerçekleştirerek diğer elimizde olmayan konularda olduğu gibi bu konuda da tepki almamıza sebep oldu.
İyi ya da kötü her deneyimden ders çıkarmayı düstur edinmiş bir ekip olarak; bug bounty programı yönetimi, hacker iletişimi, ödül ödeme ve zafiyet derecelendirmesi gibi konularda bize pek çok deneyim katan BugCrowd’a ekibimize bu deneyimi yaşattığı için teşekkür ederiz.
